Antonio Cianfrani Virtual LAN (VLAN)
VLAN: motivazioni LAN Ethernet: tutti gli host appartenenti ad una stessa infrastruttura fisica (switches, hubs, cavi) fanno parte della stessa rete IP Se bisogna realizzare più reti IP all interno di uno stesso edifico sono necessarie più infrastrutture fisiche L introduzione delle VLAN consente di eliminare questa limitazione: it i più reti logiche possono condividere id la stessa infrastruttura fisica Virtual LAN: sottorete IP indipendente che può condividere la stessa rete fisica di altre VLANs
Vantaggi delle VLAN Sicurezza Riduzione dei costi Limitazione del traffico di broadcast
VLAN: configurazione Per definire più VLANs all interno di una rete Ethernet bisogna correttamente configurare gli switch della rete Ogni VLAN è identificata da un numero (VID: 1-1005) ed ha un proprio blocco di indirizzi i i Le VLAN devono essere definite all interno dello switch Switch (config)# vlan x Switch (config-if)# name nome (opzionale) VLAN 10 student Router(config)# vlan 10 Router(config-vlan)# name student
Porte dello Switch Le porte di uno switch possono essere di due tipi Porte d accesso (access port): porte a cui sono connessi solo dispositivi appartenenti ad una VLAN Porte Trunk: porte su cui possono transitare frame appartenenti a VLAN diverse necessità di differenziare i frame VLAN 10 student VLAN 10 student VLAN 30 guest ACCESS PORT TRUNK PORT VLAN 30 guest
Access Port (1/2) Come fa uno switch a sapere a quale VLAN appartiene un frame che riceve su una particolare interfaccia/porta? Le VLAN sono port-based lo determina in base alla porta su cui sono stati ricevuti Bisogna configurare staticamente le porte di accesso in modo da associarle alle VLAN corrette Router (config)# interface FastEthernet o/x Router (config-if)# fg f) switchport mode access Router (config-if)# switchport access vlan y
Access Port (2/2) Ad ogni porta di accesso è associata un unica VLAN L unica eccezione si ha nel caso di Voice VLAN
Tipi di VLANs Data VLAN: VLAN classica, detta anche User VLAN Default VLAN (1) Native VLAN : Trunk port Management VLAN: per configurare gli switch della rete (99)
Trunk Port (1/3) Come fa uno switch a sapere a quale VLAN appartiene un frame che riceve su una porta trunk? E necessario estendere lo standard Ethernet 802.3Q: inserimento di un tag all interno del frame ethernet contenente il VID (identificativo della VLAN cui appartiene il frame) VLAN 10 NO TRUNK VLAN 10 CON TRUNK VLAN 20 VLAN 20 VLAN 30 VLAN 30
Trunk Port (2/3) Con il termine trunk si intende la connessione punto-punto tra due porte trunk di uno switch I frame che attraversano un trunk sono tutti tagged ad eccezione di quelli appartenenti ad una specifica VLAN: la Native VLAN La Native VLAN è usata per il traffico di controllo Router (config)# interface FastEthernet o/x Router (config-if)# switchport mode trunk Router (config-if)# switchport trunk native vlan 99
Trunk Port (3/3) Di default la porta trunk accetta tutte le VLAN. E possibile configurare solo un sottoinsieme di VLAN consentite su un trunk: Router (config-if)# switchport trunk allowed vlan y VLAN 10 VLAN 20 FE 0/13 VLAN 30 R(config)# interface FastEthernet 0/13 R(config-if)# switchport mode trunk R(config-if)# switchport trunk native vlan 99 R(config-if)# switchport trunk allowed 10-20
Funzionamento dello switch Uno switch instrada il traffico in base alla VLAN di appartenenza Il traffico broadcast ricevuto su una interfaccia di accesso sarà inviato solo sulle altre interfacce (accesso o trunk) del router su cui è configurata la VLAN in questione VLAN 10 broad FE 0/1 broad VLAN 20 FE 0/13 FE 0/2 FE 0/3 VLAN 30 FE 0/1, FE 0/2 e FE 0/3: access port FE 0/13: trunk port (allowed 10,20,30)
Gestione delle VLAN (1/2) Il comando show vlan brief elenca le VLAN configurate e l associazione alle porte Nessuna VLAN configurata VLAN 20 configurata ed associata all interfaccia FastEthernet 0/18
Gestione delle VLAN (1/2) Il comando show interface FastEthernet x/y switchport consente di valutare la modalità di una interfaccia Access port Trunk port
VLAN: messaggi broadcast La suddivisione in VLAN limita il traffico di broadcast VLAN 10 192.168.0.10 VLAN 10 192.168.0.13 VLAN 20 192.168.0.11 VLAN 20 192.168.0.14 VLAN 30 192.168.0.12 VLAN 30 192.168.0.15
Inter-VLAN routing (1/2) Quando due host appartenenti a VLAN diverse devono comunicare è necessaria la presenza di un router
Inter-VLAN routing (2/2) Uno switch layer 3 consente di non utilizzare il router e di limitare il numero di interfacce utilizzate SVI (Switch Virtual Interface): interfaccia logica associata ad una VLAN
VLAN Troubleshooting Possibili problemi di funzionamento di una rete Ethernet con VLAN: Native VLAN mismatch Trunk mode mismatch Incorretti indirizzi IP all interno delle VLAN VLAN non consentite (allowed) sui trunk